Técnicas de análisis forense en imágenes digitales

En días pasados se llevó a cabo la edición 2016 del Congreso Seguridad en Cómputo, organizado por la Coordinación de Seguridad de la Información/UNAM-CERT. Durante dos días, investigadores presentaron sus trabajos en diversas áreas de la seguridad para el Ciclo de Conferencias.

En su participación, el especialista en seguridad José Miguel Baltazar Gálvez, presentó el trabajo denominado “Identificación de la fuente generadora de una imagen digital”, un desarrollo del programa de Maestría en Seguridad y Tecnologías de Información del Instituto Politécnico Nacional, orientado a reconocer la marca y modelo de un dispositivo utilizado para generar una fotografía digital, durante el proceso de análisis forense.

Desafíos en el proceso de análisis forense de imágenes digitales

El aumento en el uso de dispositivos electrónicos y sus diversas funcionalidades, ha contribuido al desarrollo del perfil técnico de analista forense digital, rol encargado de garantizar la certeza en el uso de una imagen digital que pretende utilizarse como evidencia en una investigación de carácter legal.

el análisis forense de imágenes digitales es relevante para determinar el origen y la autenticidad de una fotografía

Considerando que las imágenes pueden ser utilizadas para deslindar responsabilidades o como parte de la evidencia en un caso administrativo, civil o penal, el análisis forense de imágenes digitales adquiere relevancia para determinar el origen y la autenticidad de una fotografía, con el propósito de relacionar a un individuo con un dispositivo, lugar o evento.

Si además se considera que en la actualidad existen herramientas de manipulación de imágenes cada vez más sofisticadas, que dificultan la identificación de las características de interés, resulta útil la aplicación de este tipo de técnicas.

En este contexto, los retos que enfrenta el analista consisten principalmente en determinar el origen de la fotografía digital, conocer la marca, modelo y dispositivo específico utilizado para generar la fotografía, así como si se ha añadido, eliminado o modificado el contenido en la imagen.

Procedimiento Operativo Estándar (POE), una propuesta para el analista

El trabajo de investigación de Baltazar Gálvez se centra en el desarrollo de un procedimiento operativo estándar para la identificación de la fuente generadora de imágenes, a partir de tres técnicas: análisis de metadatos, análisis de matriz de cuantización y análisis de ruido de foto respuesta no uniforme (PRNU). Dicho procedimiento se compone de las siguientes etapas:

diagrama

  • Recomendaciones iniciales

En esta primera etapa se pretende contar con las condiciones idóneas para la identificación de información de interés. El punto de partida es la adquisición de la evidencia (imágenes con formato JPEG), de preferencia a partir de dos copias para garantizar su integridad. Además, se debe llevar a cabo la definición y manejo adecuado de la cadena de custodia, el resguardo de la evidencia y la caracterización del dispositivo móvil de estudio.

  • Definición del escenario de trabajo

La segunda etapa se enfoca a la aplicación metodológica del POE. Debido a que el propósito del procedimiento se centra en la identificación de la marca, modelo y dispositivo específico utilizado para la adquisición de una imagen digital, la organización de la información es fundamental para la obtención de resultados favorables. Por ello, se deben considerar los posibles escenarios: una imagen relacionada con un dispositivo, múltiples imágenes asociadas a un dispositivo o varias imágenes relacionadas con múltiples dispositivos.

analisis

  • Técnicas de análisis y desarrollo

Metadatos. La primera técnica de análisis es por metadatos, en la cual se extraen los datos de marca y modelo del objeto de estudio, mismos que son comparados con la información de una imagen de referencia. En este proceso el analista debe considerar otros elementos técnicos, como la versión del software utilizado, geolocalización o fecha de adquisición, de tal manera que esta información se pueda correlacionar con otros eventos. Aunque se trata de un análisis básico, es posible que la imagen haya sido alterada, incluso con la modificación de los metadatos, por lo que debe apoyarse de otras técnicas.

Análisis por matriz de cuantización o cuantificación. Para la aplicación de esta técnica también se requiere una referencia que permita llevar a cabo una comparación, pero en este caso se contabilizan y extraen las matrices de cuantización de cada imagen. También conocida como matriz de cuantificación, se trata de un conjunto de valores utilizados para la representación de dicha imagen; en este análisis son cotejados el número y contenido de cada matriz. Al igual que en el caso anterior, si existe una modificación de la imagen o los dispositivos caracterizados son de la misma marca y modelo, se requiere emplear otro tipo de análisis como PRNU.

Análisis de ruido de foto respuesta no uniforme (PRNU). El ruido de foto respuesta es una característica de cada sensor en una cámara digital. En este análisis se requiere contar con imágenes planas (bajo las mismas condiciones de luz y sin escena) con el dispositivo, que permite generar un patrón PRNU de referencia. Posteriormente, se obtiene el patrón PRNU de la imagen a analizar y se contrasta a través de un proceso de correlación. Una imagen digital adquirida con el dispositivo en cuestión obtiene un valor de correlación cercano a uno, mientras que para imágenes que no fueron obtenidas con el dispositivo analizado, los valores de correlación tienden a cero e incluso pueden ser negativos.

matriz

  • Reporte ejecutivo y técnico

La última fase del procedimiento consiste en la generación de un informe ejecutivo y técnico sobre los resultados de las comparaciones, a partir del procedimiento operativo estándar. En esta última fase se plasma en un documento la información arrojada por los diferentes análisis aplicados a las imágenes de estudio.

Técnicas de análisis y herramientas para el analista forense digital

Como parte de su contribución, José Miguel presentó la herramienta “AnálisisJPEG” para la comparación automática de metadatos y matrices de cuantización. Al finalizar su participación, concluye que “el procedimiento y las técnicas propuestas son una herramienta de ayuda para el analista”. Por esta razón, se debe realizar un proceso de investigación minucioso para que la evidencia pueda ser utilizada como prueba en un proceso de índole legal o simplemente para deslindar responsabilidades.

Finalmente, recomienda profundizar en las técnicas existentes así como desarrollar nuevos métodos de análisis en el ámbito de las imágenes digitales. Además, destaca que las técnicas y herramientas requieren de la interpretación y correlación con otros eventos, de manera que el analista pueda emitir una conclusión contundente.

Autor , ESET

  • Algo con relación a metadatos en imágenes he querido escribir en mi blog, aunque es más por la pregunta de alguien con referencia a eso mismo, ¿como es posible que puedan meter información dentro de una imagen? cuando lo dicen, solo piensan en que es como las impresas en papel que solo es eso, algo impreso en papel y nada mas. O hasta mi madre que no entendía como es que algo que no “existe”, que solo se ve en la pantalla pueda “pesar”, y todavía le digo que mientras mas metadato mas pesa xD

    Lo referente a lo dicho y esta publicación es, no todos comprenderán que una fotografía pueda ser usada como evidencia, mas allá de solo ver lo que en ella quedo grabada al momento de ser tomada.

    Pregunto en que tipo de casos se da el que se solicite estas técnicas de análisis para conseguir mas evidencia. Hablándose de lo legal, cuando un juez no entienda o no conozca leyes alguna que le digan a que recurre en algún caso especial.

    Como en uno de los tantos casos de corrupción que están pasando en mi país, donde la evidencia fue manipulada, dado que el abogado no sabe que no debe tocar la evidencia, aunque para el era solo una portátil común y corriente.

    • Miguel Ángel Mendoza

      Buen día, gracias por el comentario.

      Para agregar información sobre la consulta donde se mencionan algunos casos en los cuales este tipo de técnicas son necesarias, en general se relacionan con delitos y generalmente son específicos.

      Por ejemplo, como indica Netherlands Forensic Institute (NFI), una situación podría ser cuando un sospechoso en un caso de pornografía infantil niega tomar alguna de las fotos en cuestión. Luego de analizar la evidencia con alguna de las técnicas y compararlas, por ejemplo, con las fotografías digitales de las últimas vacaciones del sospechoso, se podría mostrar que las imágenes fueron tomadas con una misma cámara.

      Aunque sin duda, no se limita a este ejemplo, por lo que quizá en otros casos también se requieren las herramientas y técnicas de análisis para brindar un veredicto.

      Saludos!

Síguenos

Últimos Cursos